Sårbarheten regnes som alvorlig og kan tillate en angriper å legge inn kommandoer som blir kjørt av det sårbare systemet. Feilen oppstår blant annet fordi delen av Internet Explorer som behandler internettadresser ikke luker ut skadelig kode.
Microsoft hevder uskyld
Microsoft på sin side nekter å ta ansvar for feilen. En talsmann sier at de har undersøkt påstandene grundig, og kommet til at sårbarheten ikke ligger i et Microsoft-produkt.
Ved installasjon legger Firefox inn en komponent ved navn “FirefoxURL”. Denne lar andre programmer starte Firefox. Det er i dette skjæringspunktet mellom Internet Explorer og Firefox feilen oppstår. Internet Explorer sender innhold videre til FirefoxURL. I innholdet kan det ligge kommandoer og ondsinnet kode som hverken Firefox eller IE klarer å luke ut.
Sårbarheten gjør scriptangrep mulig
Ved å legge legge til “-chrome” i kjørekommandoen for Firefox kan også en angriper få mulighet til å kjøre script i nettleseren med fulle privilegier.
Annonse
Antivirusgiganten Symantec har satt opp flere mulige scenarier for utnyttelse av sårbarheten. Mulighetene er alt fra å kjøre enkeltkommandoer på systemet, til å åpne helt opp for fjernaksess ved at innstillinger for brannmurer og pålogging endres.
Kilde:
eweek.com
Annonse